Organizacje społeczne nie powinny czuć się bezpieczne. Oszuści pójdą zawsze tam, gdzie są pieniądze lub… słabe zabezpieczenia. Co grozi organizacjom? Jak mogą reagować? Na co powinny zwracać uwagę? O to pytamy Macieja Broniarza, specjalistę IT, wykładowcę akademickiego, administratora systemów i sieci komputerowych, eksperta zarządzania kryzysowego w incydentach IT.
Czy organizacje społeczne są bezpieczne?
Oczywiście, iż może być. Ta świadomość na szczęście się zmienia. Bardzo dużo zmieniło się po pandemii, bo wtedy do ludzi dotarło, iż choćby w takim prywatnym kontekście mogą być masowo celami ataków.
To są często ataki, które są po prostu obliczone na korzyść majątkową. Nie są one specjalnie wyrafinowane, natomiast z uwagi na swoją skalę po prostu jakiś procent z nich jest skuteczny i to się przestępcom opłaca.
Ta wiedza o atakach potem dociera też do osób w kontekście czysto służbowym. Nagle się orientują, iż choćby o ile ich organizacja potencjalnie nie będzie na celowniku, to adekwatnie dowolne obszary, w których oni funkcjonują, mogą być interesujące dla przestępców, bo tam po prostu są pieniądze.
Jaki jest główny cel cyberprzestępców? Pieniądze, dane?
W przypadku organizacji pozarządowych to jest troszkę bardziej pomieszane. Mogą to być oczywiście pieniądze, ale z drugiej strony, jeżeli przestępcy atakują organizacje dla okupu i używają ransomware – to w takim przypadku okup na pewno byłoby im łatwiej wymusić od firmy, a nie od organizacji pozarządowych.
Specyfika NGO sprawia, iż bardzo istotnym zagrożeniem są jeszcze dwie rzeczy. Po pierwsze: wszelkie działania destabilizacyjne. Graniczymy z krajem, w którym toczy się wojna. Zaangażowanie rosyjskich i białoruskich służb na terenie Polski jest bardzo duże. Wszystkie działania destabilizacyjne, sabotujące są bardzo popularne i to właśnie organizacje bardzo często padają ofiarą takich ataków. Ktoś może po prostu wywołać chaos albo wykorzystać infrastrukturę organizacji, która regularnie nie jest dobrze zabezpieczona, jako takie punkty przesiadkowe.
Spotkałem się ostatnio z incydentem, gdzie grupa powiązana z rosyjskim wywiadem wykonywała ataki na infrastrukturę informatyczną dużych polskich organizacji pozarządowych. Nie robili tego bezpośrednio. Korzystali z serwera jakiejś małej organizacji pozarządowej, gdzieś na południu Polski. Tam się włamali, tam mieli taką stację przesiadkową. Tego typu działanie potencjalnie utrudnia analizę, utrudnia poszukiwanie, skąd ten atak został dokładnie przeprowadzony.
I drugi kontekst, który jest bardzo istotny w Polsce, to są właśnie wszystkie działania przeciwko organizacjom, które pracują w obszarze współpracy. Działają czy to z ruchami obywatelskimi w Rosji, czy na Białorusi, czy po prostu są organizacjami pomocowymi, które opiekują się, chociażby uchodźcami z Ukrainy.
Co trzeba zrobić, żeby nie zostać zaatakowanym? Inwestować w cyberbezpieczeństwo czy w jakieś cyfrowe zasieki?
To jest trochę tak jak z wyposażeniem samochodu. Mamy pasy bezpieczeństwa, koło zapasowe i hamulce. Inwestycja w dobre hamulce nas nie razi, choćby jeżeli ich nie wykorzystujemy, żeby się gwałtownie zatrzymać. zwykle przyjmujemy to za stan faktyczny i z tego korzystamy.
Wbrew pozorom organizacje dosyć gwałtownie się orientują, iż coś się dzieje. Zwłaszcza o ile zaczynają monitorować infrastrukturę. Żyjemy w takim przeświadczeniu, iż o incydencie dowiadujemy się wtedy, kiedy on się wydarzy. To na szczęście w przypadku coraz większej liczby organizacji nie jest prawda. To są bardzo często organizacje, które orientują się, iż jest przeciwko nim przeprowadzany atak i są w stanie zareagować. Albo wyłapują jakieś próby rekonesansu, kiedy jakaś grupa przygotowuje się do ataku.
Ta metafora zasiek jest dobra, dlatego, iż o ile sobie zrobimy kilka rzędów takich barier, przez które przestępca musi się przedrzeć, to na którymś etapie po prostu go zobaczymy i będziemy mieli szansę jakoś zareagować. Tylko to wymaga oczywiście dużego zaangażowania, przede wszystkim zasobów ludzkich, którymi organizacje nie zawsze dysponują.
Firewall – system zabezpieczeń, który monitoruje i kontroluje ruch sieciowy, blokując nieautoryzowany dostęp do urządzeń lub sieci.
VPN (Virtual Private Network) – narzędzie szyfrujące połączenie internetowe i ukrywające adres IP użytkownika, co zwiększa prywatność i bezpieczeństwo w sieci.
Two-Factor Authentication (2FA) – metoda uwierzytelniania wymagająca dwóch niezależnych kroków w celu potwierdzenia tożsamości użytkownika, np. hasła i kodu SMS.
Czy kluczowym elementem tego, żeby było bezpieczniej w polskich NGO-sach może być zwiększanie świadomości zagrożeń?
To też bardzo często jest po prostu kwestia nastawienia działaczy organizacji pozarządowych. Przychodzi mi do głowy konkretny projekt społeczny gdzieś w Polsce. Ktoś stwierdził, iż będzie opiekował się samotnymi osobami starszymi na terenie kilku powiatów.
Jeśli ktoś został sam w mniejszej miejscowości lub wsi, to potrzebuje czasem wsparcia. Trzeba wymienić bezpiecznik, przynieść węgla. Masa takich prostych rzeczy, które w pewnym wieku po prostu stają się trudne.
W tym wypadku ktoś stwierdził, iż skoro to działa, to zrobi listę takich osób na fanpage’u swojej organizacji. W założeniu po to, by inne osoby zainteresowane wiedziały, kogo mają najbliżej i komu mogą pomóc.
Sama idea jest oczywiście super i bardzo szlachetna, ale może prowadzić do stworzenia listy dla przestępców. Gotowe wskazówki kto jest sam, do kogo nikt nie przychodzi cały tydzień. W domyśle: kogo okradzenie jest banalne, nie niesie ze sobą żadnego ryzyka i można to bez żadnego problemu zrobić.
Kiedy rozmawiałem z człowiekiem, który coś takiego chciał zorganizować, to nagle do niego dotarło, iż on w ogóle nie patrzył na ten aspekt, iż te same rzeczy mogą być wykorzystane nie tak, jak on zakładał.
Czyli czasem trzeba myśleć trochę jak przestępca?
Tak. Dokładnie tak.
Jak można przekonywać organizacje do dbania o swoje cyberbezpieczeństwo?
To mogą być wywiady, takie jak ten, wszelkie rozmowy, publikacje, konferencje, bo ludzie po prostu mogą sobie to na spokojnie przesłuchać, przemyśleć, odnieść do kontekstu swojej organizacji.
Swego czasu bardzo fajny projekt realizowała Fundacja Batorego, która po prostu wspierała organizacje pozarządowe w podniesieniu poziomu swojego bezpieczeństwa teleinformatycznego. To było coś nowego.
Zainwestowano w organizacjach nie tylko w infrastrukturę, ale też w kompetencje, żeby ludzie w tych organizacjach umieli sobie te zabezpieczenia wdrożyć i wykorzystać. Postawiono nacisk na rzeczy długofalowe.
To znaczy, organizacje wdrożyły różne rozwiązania w 2022 roku. Teraz, w 2025, dalej z tych rozwiązań korzystają i ten poziom bezpieczeństwa jest zauważalnie wyższy. Bardzo dobrze działają, tylko to oczywiście ma duży koszt. Trzeba dbać, podejmować się analizy incydentów.
Czyli nie jest źle? Wiemy jakie zagrożenia na nas czyhają?
Wszyscy bardzo gwałtownie się orientują, iż powinni się zainteresować tematem, o ile słuchają, iż inna organizacja padła ofiarą incydentu. Bo to jest dla nich taki bardzo jasny, bardzo klarowny przykład, prosty do wytłumaczenia. Natomiast jest też dużo takich działań, które są trochę takim listkiem figowym.
Wszyscy zakładają, iż problemem organizacji pozarządowych jest brak technologii, brak sprzętu, brak oprogramowania. To nie jest prawda. Problemem jest brak ludzi. Jest masa rozwiązań open source, które można sobie wdrożyć. Jest masa sprzętu, który różne firmy są w stanie przekazać.
Cisco przekazało dużo sprzętu organizacjom, czy to na terenie Polski, czy w Ukrainie, tuż po wybuchu wojny. To jest naprawdę imponujące i rzeczywiście robi wrażenie. Pokazuje też, iż można to zrobić. Nie trzeba jakoś się strasznie nagimnastykować, żeby pozyskać sprzęt czy oprogramowanie.
W Polsce takie projekty, które trochę są opisywane jako wspieranie organizacji pozarządowych, są tak naprawdę takim nietypowym kanałem sprzedaży. Chodzi na przykład o usługi chmurowe czy rozwiązania licencyjne. No i potem organizacja dostaje za darmo albo bardzo tanio masę różnych licencji. No i świetnie, co ona ma z nimi zrobić? Ona dalej tego nie rozumie.
Czasami jeżdżę po Polsce i robię seminaria dla różnych organizacji, trochę, żeby po prostu pogadać z nimi o bezpieczeństwie. Po pierwsze, by opowiedzieć, jakie są zagrożenia, ale takie, które konkretnie się odnoszą do nich, ale też trochę, żeby popytać, jak wygląda ich zarządzanie bezpieczeństwem i ewentualnie też doradzić.
I nie zdarzyło mi się przez ostatnich kilka lat, żeby ktoś powiedział: brakuje nam oprogramowania, brakuje nam usług w chmurze. Nie, oni mówią wprost, brakuje nam zasobów ludzkich. Trafiłem ostatnio na organizację, gdzie bardzo sensownie i super merytorycznie korespondowała ze mną pani, która ustawiała sobie dwuskładnikowe uwierzytelnianie w swoim systemie pocztowym.
Miała różne pytania, jak to zrobić, jak zarządzać dostępem. Poświęciliśmy sporo czasu z nią na to, żeby sobie to przegadać, wymyślić taki model, który dla niej będzie wygodny. A potem się okazało, iż pani w organizacji jednocześnie jest szefową sekretariatu i główną księgową. I ona to IT robi po godzinach, a to Security to robi po godzinach, jak już skończy robienie tego IT.
Gdyby zamiast licencji na programy, które są rzadko używane, organizacje dostawały na przykład dofinansowania na szkolenia, to miałoby dużo większy pozytywny skutek niż kolejne oprogramowanie czy dostęp do aplikacji. Oczywiście szkolenia musiałaby prowadzić lokalna firma, które potem mogłaby doglądać wszystkiego raz na jakiś czas.
Wrażliwe i empatyczne organizacje społeczne są szczególnie narażone. Czy warto uczyć siebie i innych nieufności w sieci?
Tak, na pewno. To bardzo często problem na przykład beneficjentów danych organizacji. Osoby starsze bardzo łatwo dają się oszukiwać na przeróżne scamy, bo po prostu nie rozumieją technologii.
Mam takie wspomnienie sprzed lat, jak do mojej babci zadzwonił ktoś, podając się za mojego brata. Powiedział, iż miał wypadek, bo prowadził po pijanemu. Policja go zatrzymała i trzeba teraz gwałtownie zapłacić, żeby nie poszedł do więzienia. Na co moja babcia powiedziała, iż jak prowadził po pijaku, to jest głupi i się rozłączyła.
Natomiast większym problemem jest to, iż teraz takie rzeczy można robić z wykorzystaniem AI. o ile zbierze się próbki głosu, to można podszyć się pod daną osobę. I w tym przypadku już bardzo ciężko takiej osobie starszej wytłumaczyć: „To nie jest prawda. To nie Twój wnuk mówi do ciebie przez telefon. To po prostu jest zmodyfikowana próbka głosu”.
Fajnym pomysłem swojego czasu było poruszanie takich wątków na przykład w popularnych telenowelach. Ludzie to oglądają, zakładam, iż do tego ktoś kiedyś wróci. To przenika do zbiorowej świadomości. Czasem jest zarzut, iż to jest drętwe i tak dalej, ale jesteśmy w stanie przeżyć 2-3 minuty drętwego wątku w telenoweli, o ile ludzie się uczulą na dane kwestie.
Będą potem wiedzieli, iż policja nie dzwoni, żeby oni teraz przynieśli 10 tysięcy złotych i wyrzucili do śmietnika, bo to jest „akcja prowokacyjna, do której zaangażowano obywatela”. A właśnie takie przypadki się zdarzają.
Czyli powinniśmy inwestować w ludzi? Ich kompetencje, wiedzę, uczulać i pokazywać, wyjaśniać?
To jest kluczowe. o ile ktoś poważnie chce myśleć o tym, jak organizacje pozarządowe powinny się cyfryzować, ale mieć też na względzie bezpieczeństwo swoje, swoich danych i beneficjentów – to inwestycja powinna być przede wszystkim w ludzi. Wszystko inne da się pozyskać.
Idealnym modelem byłoby na przykład, gdyby przy organizacjach tworzyć takie lokalne, powiatowe, wojewódzkie centra kompetencyjne. To może być kooperacja kilkunastu organizacji, które na przykład współdzieliłyby swoje zasoby informatyczne. Często potrzeba tylko zaufanej osoby, która poświęci im czas.
Dlaczego to jest ważne?
Przestępcy to nie są zakapturzeni goście, którzy siedzą w ciemnym pokoju i patrzą na zielone monitory. Oni przychodzą na 8:00 do pracy i dostają dyspozycje z rozdzielnika: „Dzisiaj będziesz okradał firmę A, B i C”. I oni po prostu lecą swoim scenariuszem, systematycznie.
Jeżeli odbijają się od pewnych zabezpieczeń, od pewnych mechanizmów obronnych, które ma dana ofiara, to stwierdzają: „Dobra, tu nic nie ugramy, idziemy dalej”. Więc o ile w przypadku tych organizacji podniesiemy bezpieczeństwo, to naprawdę odfiltrujemy bardzo dużą część takich incydentów, bo po prostu ci przestępcy pójdą tam, gdzie będzie im łatwiej.
Wracając do wątku lokalnych sieci wsparcia – daje to dużo lepszy rezultat, bo w razie czego, organizacja ma do kogo zadzwonić i ma kto im pomóc. Więc fajnie, gdyby rzeczywiście te ruchy szły w tę stronę.
My już trochę to próbujemy w kontekście CERT-u budować, bo pracujemy już z organizacjami i w Lublinie, i na Pomorzu, więc jakby ta siatka wychodzi dużo poza warszawską bańkę.
To znaczy, iż oszuści i cyberprzestępcy, pracują na zasadach takiego call center?
To jest taka mieszanka call center z franczyzą. Można zapłacić i zostać franczyzobiorcą takiej grupy przestępczej. Dostaje się wówczas komplet narzędzi, poradników. To działa tak, iż ktoś przychodzi do „pracy”, loguje się do systemu i dostaje zadanie. Czyli dane kogoś, kogo ma okraść.
Do tego dostają zebraną informację o tej fundacji i ona jest tam opisana. Są informacje, jakich narzędzi używają, kto ma dostęp do ważnych informacji: księgowa czy członek zarządu.
Wtedy wysyłane są maile phishingowe na przykład informujące o wygaśnięciu hasła. Można kliknąć, żeby zalogować się ponownie i tracimy nasze hasło do skrzynki pocztowej. Wtedy oszuści mogą wysłać współpracującemu z nami podmiotowi fakturę z podmienionym numerem konta i nie wzbudzi ona podejrzeń.
To się musi też im opłacać. Czyli jeżeli jakaś organizacja odbija się od tego scenariusza, to przestępcy stwierdzają, iż nie ma oczekiwanego rezultatu w przeliczeniu na poniesione koszty. Wtedy idą dalej.
Upraszczając: o ile podniesiemy nasze bezpieczeństwo o 20%, to proporcjonalnie dotknie nas 80% mniej incydentów. Wtedy po prostu są inne, bardziej atrakcyjne cele, kogoś można oszukać w prostszy sposób.
Co, jeżeli zostaniemy zaatakowani? Jak się zachowywać? Jakie ruchy podjąć? Co można zrobić?
Przede wszystkim należy się uspokoić i zastanowić. Obsługuję na co dzień zawodowo incydenty i jest ich parędziesiąt rocznie. To są bardzo często duże incydenty takie, które pojawiają się w mediach.
Z uwagi na to, iż mam dużą próbkę, widzę, co ludzie robią źle i co robią dobrze. Nie zdarzyło mi się nigdy trafić na taki przypadek, gdzie ktoś na przykład mógłby zareagować szybciej i to by rozwiązało problem. Natomiast wielokrotnie widziałem sytuacje, gdzie ludzie działali emocjonalnie. W trybie paniki robili bardzo głupie rzeczy, które pogarszały sytuację albo powodowały, iż przywrócenie organizacji do działania zajmowało nie kilka dni, ale kilkanaście tygodni.
Ktoś niesiony emocjami odłączył sprzęt od zasilania. Maszyna nie zdążyła się schłodzić, coś się przegrzało i powstał większy problem. Oprócz włamania na stronę, z którym organizacja musi się uporać, musi też kupić nowy serwer.
Robienie pewnych rzeczy na spokojnie zawsze się opłaca. o ile to są ataki typu ransomware, o ile to są ataki typu wycieki danych, to z reguły sami nic nie zrobimy. Po prostu potrzebujemy pomocy, musimy się zgłosić do kogoś, kto się na tym zna.
Moja rada to zebrać kontakty tego typu, zanim coś złego się stanie. I to nie wymaga jakichś gigantycznych nakładów. Można się choćby odezwać do nas, powiedzieć: „Słuchajcie, mamy taką organizację, rzućcie okiem na nasze bezpieczeństwo”. My powiemy, co uważamy, iż warto zrobić, pogadamy trochę z tą organizacją, żeby lepiej ją zrozumieć.
Jeżeli ta organizacja za pół roku zadzwoni, iż ma incydent, to my mamy już jakiś otwarty kanał komunikacyjny z nimi. Wiemy, z czego korzystają, wiemy potencjalnie, gdzie może być problem. Wtedy jest to zupełnie inna sytuacja.
Jeżeli myślimy o bezpieczeństwie, to zacznijmy działać, zanim coś złego się wydarzy. To naprawdę ułatwi nam potem ogarnianie sytuacji, bo ten incydent prawdopodobnie wystąpi w jakiś sposób.
Wróćmy do wątku narzędzi, które organizacje mogą wykorzystywać. Jakieś przykłady?
Jest masa narzędzi, które dla organizacji pozarządowych są bezpłatne albo bardzo tanie. Począwszy od usług skanowania podatności w systemach. Po prostu cyklicznie jakaś aplikacja sprawdza wszystkie nasze serwery i wskazuje, gdzie jest podatność, gdzie nie mamy aktualizacji, czym się zainteresować.
To są rzeczy, które organizacje mogą dostać, wystarczy się do nas odezwą i my im to zapewnimy, adekwatnie od ręki. Są systemy monitorowania wycieków, są systemy wykrywania kampanii phishingowych. Czasem to są rzeczy bezpłatne, czasem to są rzeczy, które kosztują, ale to nie są duże koszty.
W przypadku dużych organizacji mówimy o tysiącach złotych w skali roku. jeżeli chodzi o małe organizacje, to jest z reguły paręset złotych w ciągu roku. Wydaje się, iż są to koszty do przyjęcia.
Zwłaszcza iż często te ataki na organizacje pozarządowe są powiązane. Nie są to proste, punktowe zaczepki. Bardzo często to jest taki łańcuch.
Co to dokładnie znaczy? Czy pamiętasz jakieś przykłady takiego ataku?
Jest taki obrazowy przykład sprzed kilku lat. W podwarszawskim Nadarzynie, jak wybuchła wojna, wystartowało centrum pomocy dla uchodźców. I ktoś to centrum pomocy zaatakował, to znaczy korzystając z jakiejś kampanii phishingowej, wysyłał maile do tych osób, które tam pracowały, uzyskując dostęp do ich skrzynek pocztowych.
Nie robił jeszcze nic innego poza tym, iż miał dostęp do tych skrzynek pocztowych. Następnie z tych skrzynek pocztowych w tym centrum pomocowym wysyłał maile phishingowe do różnych organizacji pozarządowych, które pracowały z tym centrum pomocy, przejmując konta pocztowe w tych organizacjach. A potem zaczął z tych organizacji pisać do ich sponsorów, do kancelarii adwokackich, które z nimi pracowały itd.
No i tu już zrobiło się poważnie, bo potencjalnie zainfekowanie malwarem komputerów w jakichś kancelariach adwokackich to już jest „mięso”. To znaczy, można na przykład zaszyfrować organizację i zażądać okupu.
Ten łańcuszek bardzo często występuje i im szybciej go wykryjemy, im szybciej zareagujemy, tym lepiej będzie dla wszystkich. To oznacza, iż my o tym bezpieczeństwie musimy zacząć myśleć, zanim coś złego się stanie. To jest ten moment, w którym mamy jakąś przestrzeń, żeby zareagować.
Malware – złośliwe oprogramowanie, które może uszkodzić urządzenie, kraść dane lub przejmować kontrolę nad systemem; obejmuje wirusy, trojany, spyware i ransomware.
Ransomware to rodzaj złośliwego oprogramowania, które blokuje dostęp do danych na komputerze lub urządzeniu mobilnym, najczęściej poprzez ich zaszyfrowanie, a następnie żąda zapłaty okupu w zamian za możliwość ich odzyskania. Ataki ransomware mogą być przeprowadzone dzięki zainfekowanych załączników e-mail, stron internetowych lub luk w zabezpieczeniach systemu. choćby po zapłaceniu okupu nie ma gwarancji, iż dane zostaną odszyfrowane, co czyni ten typ zagrożenia szczególnie niebezpiecznym.
Trojan to rodzaj złośliwego oprogramowania, które podszywa się pod legalne aplikacje lub pliki, aby nakłonić użytkownika do jego instalacji. Po uruchomieniu może umożliwić cyberprzestępcom dostęp do systemu, kradzież danych, monitorowanie aktywności użytkownika lub wykonywanie innych szkodliwych działań.
Polityka bezpieczeństwa to brzmi poważnie, ale może wystarczą proste zasady i jasne instrukcje?
Z jednej strony oczywiście dowolna polityka jest potencjalnie lepsza niż jej brak, bo to znaczy, iż się jakoś tym tematem zajmujemy. Problem jest taki, iż ta dowolna polityka może być nieprzemyślana albo choćby szkodliwa. Gdzieś tam za rogiem pojawiają się kolejne propozycje przepisów, które pewnie wejdą w życie. Jest coś, co się nazywa Cyber Resiliency Initiative i Cyber Resiliency Act. One wprowadzają np. pomysł odpowiedzialności osobistej, karnej członków zarządu za zlekceważenie kwestii bezpieczeństwa teleinformatycznego. I to przesuwa punkt uwagi, no bo nagle zaczynasz potencjalnie odpowiadać głową za to, iż coś zlekceważyłeś.
To się nie dzieje jeszcze teraz, to się wydarzy pewnie na przestrzeni dwóch, trzech lat. Znając polskie tempo adaptacji różnych rzeczy to bardziej za pięć, ale warto mieć gdzieś tam to z tyłu głowy.
W organizacjach, które miały incydent, Urząd Ochrony Danych Osobowych nie ma pretensji, iż polityka bezpieczeństwa była niewystarczająca. Oczywiście zawsze można to zrobić lepiej, ale wygląda to tak, iż na pytanie urzędnika na stole pojawia się monstrualny dokument. Tam jest 100 tysięcy różnych fajnych pomysłów, ale wtedy Urząd mówi: dobra, pokażcie, iż to robicie. No i tutaj zapada takie niezręczne milczenie, bo jednak tego nie robimy.
Wpisanie takiej liczby operacji, iż potrzebowaliśmy mieć w zasadzie kilkunastoosobowy zespół cybersecurity pracujący w trybie 24 na 7, jest strzałem w kolano. To, co jest bardzo ważne, to żeby ta polityka była osadzona w kontekście. Jak ktoś w ogóle nie ma pomysłu jak to ugryźć, to my swojego czasu przygotowaliśmy taki krótki poradnik, który pokazuje, jak organizacja pozarządowa powinna się zabezpieczyć w różnych obszarach. W kontekście poczty internetowej, backupu, stron internetowych, dostępu do aplikacji i tym podobnych kwestii.
Plan bezpieczeństwa cyfrowego zbudowany razem z Techsoup Polska
To jakie kroki podjąć, jeżeli chodzi o naszą wewnętrzną politykę?
Jak zaczynamy taką politykę tworzyć, to naprawdę bardzo mocno osadźmy ją w kontekście, osadźmy ją w naszych możliwościach. Nie wpisujmy tam rzeczy, które nam się wydają dobre, bo jakiś konsultant nam doradził, albo wydaje nam się, iż jak będziemy robić coś często i dużo, to wystarczy.
Jak organizacja społeczna tworzy politykę, to potrafią znaleźć się tam stwierdzenia jak: „w przypadku ujawnienia podatności w systemie informatycznym musi ona zostać usunięta w ciągu 24 godzin”. No, a jeżeli ktoś znajdzie błąd w sobotę rano, to marne szanse, iż do niedzieli rano ten błąd zostanie usunięty.
Mam takie fajne zestawienie porównujące organizacje z bankami. Mówimy o instytucjach finansowych, są więc to poważne kwestie, dużo większe ryzyko. A procedury w bankach to na przykład: „w przypadku ujawnienia podatności powinna ona być usunięta do końca następnego kwartału, po kwartale, w którym została ujawniona”. Jest procedura? Jest.
Kiedyś dla jednego z banków znaleźliśmy jakąś podatność i bank odpowiedział, iż w przyszłym roku zostanie ona usunięta. I to mowa o banku, który wszyscy znamy. On funkcjonuje i jakoś to działa. Ktoś to musiał doprecyzować, stwierdzić, iż konsekwencje potencjalne tego błędu nie są duże, więc nie czepiam się banku, tylko zwracam uwagę na perspektywę. Nie ma sensu dokręcać sobie śruby. Zwłaszcza jeżeli nie umiemy czegoś zrobić.
Pierwsza rzecz, którą organizacja powinna zrobić, budując sobie taką politykę, to po prostu znaleźć kogoś lokalnie, kto będzie w stanie z nimi współpracować. Po to, by te rzeczy troszeczkę przecinać od strony technicznej i komentować, jak to można zrobić. o ile jesteśmy w ośrodku, gdzie na przykład jest uczelnia, wystarczy pójść sobie na jakikolwiek wydział techniczny, politechnikę, czy gdzie jest jakaś informatyka, telekomunikacja i powiedzieć, iż szukamy studenta, któremu trochę zapłacimy, żeby nam po prostu to pomógł zrobić.
Budowanie lokalnego networku, sieci znajomości jest bardzo ważne. Ludzie potrzebują praktyk, chcą zdobywać doświadczenie, zaczepić się na chwilę. Nie musimy zatrudniać fachowca za 25 tysięcy złotych miesięcznie. Możemy to zrobić inaczej, a to i tak przesunie nas w zupełnie inną stronę, o ile chodzi o bezpieczeństwo.
***
Maciej Broniarz: Prelegent z wieloletnim doświadczeniem, wykładowca akademicki, konsultant ds. bezpieczeństwa IT. Od 2010 roku wykładowca Informatyki Kryminalistycznej w Centrum Nauk Sądowych Uniwersytetu Warszawskiego. Prowadził liczne wykłady i szkolenia z cyberbezpieczeństwa m.in. dla Komisji Nadzoru Finansowego, Politechniki Warszawskiej, Wydziale Matematyki, Mechaniki i Informatyki Uniwersytetu Warszawskiego, NASK i Warszawskiej Rady Adwokackiej. Ceniony za obszerną wiedzę, bogate doświadczenie praktyczne i umiejętność łatwego przekazywania wiedzy oraz przystępnego wyjaśniania choćby najbardziej złożonych treści. W czasie kariery zawodowej kierował m.in. Działem Sieci Komputerowych Uniwersytetu Warszawskiego oraz zespołem CERT PLIX. Ekspert ds. cyberbezpieczeństwa i informatyki śledczej, współpracujący m.in. z kancelarią Leśniodorski, Ślusarek i wspólnicy oraz Pietrzak-Sidor oraz Wardyński i Wspólnicy. Współpracuje z Fundacją im. Bronisława Geremka i Helsińską Fundacją Praw Człowieka w projektach R&D dotyczących zwalczania przestępczości w internecie. Członek Polskiego Towarzystwa Kryminalistycznego.
